Mozilla устранила вектор для атак внедрения кода в Firefox

Mozilla устранила вектор для атак внедрения кода в Firefox

Mozilla уменьшила поверхность атаки путем удаления потенциально опасных элементов из кодовой базы.

image

Компания Mozilla выпустила патч, блокирующий возможности для осуществления атак внедрения кода в браузере Firefox.

«Эффективным способом борьбы с атаками внедрения кода является уменьшение поверхности атаки путем удаления потенциально опасных элементов из кодовой базы и усиления кода на различных уровнях. Для того чтобы сделать Firefox устойчивым к атакам внедрения кода, мы удалили встроенные скрипты и функции наподобие eval()», - сообщила команда безопасности Mozilla.

Mozilla переписала встроенный обработчик событий и перенесла встроенный JavaScript-код в заархивированные файлы для всех страниц about:pages браузера (ознакомиться со списком из 45 about:pages можно здесь ), уязвимых к атакам внедрения кода через встроенные скрипты.

Страницы about:pages предоставляют пользователям простой интерфейс для проверки информации, связанной с внутренней работой Firefox (например, страница about: config предоставляет API для проверки и обновления настроек и параметров). Поскольку, как и все другие страницы браузера, about:pages используют HTML и JavaScript, злоумышленники могут внедрить вредоносные скрипты в контексте безопасности браузера и выполнять произвольные действия от лица пользователей Firefox.

Сделав невозможным внедрение встроенных скриптов на страницах about:pages в Firefox, Mozilla создала барьер против атак внедрения кода, которые могут привести к выполнению произвольного кода.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle